Ledger CTO’su Charles Guillemet, milyonlarca kullanıcıyı etkileyebilecek devasa bir tedarik zinciri saldırısının ardından on-chain işlemlerin şimdilik durdurulması gerektiğini açıkladı.
Kripto dünyasında güvenlik gündeme bomba gibi düşen bir haberle sarsıldı. NPM platformunda saygın bir geliştiricinin hesabı ele geçirildi ve saldırganlar, 1 milyardan fazla indirilmiş JavaScript paketlerine kötü amaçlı kod enjekte etti. Bu kod, işlem sırasında kripto cüzdan adreslerini sessizce değiştirerek kullanıcıların fark etmeden paralarını saldırganlara göndermesine yol açabiliyor.
Ledger’ın güvenlikten sorumlu yöneticisi Charles Guillemet, X platformundan yaptığı açıklamada “Eğer donanım cüzdanı kullanıyorsanız ve imzalamadan önce her işlemi dikkatle kontrol ederseniz güvendesiniz. Donanım cüzdanınız yoksa, şimdilik hiçbir on-chain işlem yapmayın” uyarısında bulundu. Guillemet’in açıklamaları, bazı uzmanların “şimdiye kadar görülen en büyük tedarik zinciri saldırısı” olarak nitelendirdiği olayın ciddiyetini gözler önüne serdi.
Milyarlarca İndirme Risk Altında
NPM, JavaScript ekosisteminin en yaygın kullanılan araçlarından biri. Geliştiriciler, bu platform üzerinden milyonlarca projeye entegre edilen paketleri indiriyor. Bu nedenle tek bir geliştirici hesabının ele geçirilmesi, sayısız web sitesi, uygulama ve özellikle merkeziyetsiz finans (DeFi) projelerinin risk altında kalmasına yol açıyor. Uzmanlar, saldırının kullanıcıların özel anahtarlarını çalabilecek düzeyde tehlikeli olduğunu belirtiyor.
“Adres Değiştirerek Fonları Çalıyor”
Ledger CTO’su, kötü amaçlı kodun çalışma prensibini şöyle açıkladı: “Saldırgan, kullanıcıların işlem sırasında girdiği cüzdan adreslerini kendi adresiyle değiştiriyor. Böylece kullanıcı parayı farkında olmadan hacker’a gönderiyor.” Bu yöntem, daha önce büyük çaplı saldırılarda da kullanılmış ve milyar dolarlık kayıplara yol açmıştı.
Donanım Cüzdanlar Güvende
Guillemet, kullanıcıların fonlarını korumak için Clear Signing özelliğine sahip donanım cüzdanları kullanması gerektiğini vurguladı. Bu özellik, ekranda görülen adresin gerçekten doğru olup olmadığını kontrol etme imkânı sunuyor. Yazılım tabanlı cüzdanlar veya güvenlik ekranı olmayan donanım cüzdanlarının ise büyük risk taşıdığı uyarısı yapıldı.
Saldırı Henüz Bitmedi
Olayın merkezindeki geliştirici, Bluesky üzerinden hesabının bir kimlik avı saldırısıyla ele geçirildiğini doğruladı. Saldırganlar, sahte e-postalarla geliştiricileri kandırarak erişim sağlamış. İlk yamalar yapılsa da uzmanlar, özellikle web arayüzlerinde riskin tamamen ortadan kalkmadığını belirtiyor.
Sonuç olarak, bu saldırı açık kaynak yazılımların ne kadar kırılgan olabileceğini ve kripto ekosisteminde güvenliğin en küçük bir ihmalin bile milyarlarca dolara mal olabileceğini bir kez daha gösterdi. Kullanıcılara ise tek bir tavsiye veriliyor: “İşlemlerinizi donanım cüzdanıyla doğrulayın, körü körüne imzalamayın.”